Berechtigungen zur Tabellenbearbeitung organisatorisch einschränken
Fazit und Ausblick
Eine Voraussetzung für die indirekte Zuordnung von PFCG-Rollen ist ein gepflegtes Organisationsmodell. Dieses kann einer Linienorganisation entsprechen, die aus Organisationseinheiten besteht, denen Planstellen zugeordnet sind. Veranschaulichen Sie sich die Mitarbeiterstruktur des Unternehmens oder der Abteilung, für die Sie die Rollen zuordnen sollen, anhand eines Organigramms. Ordnen Sie den Planstellen die Personen zu, denen ein Benutzer als Attribut zuwiesen ist. Darüber hinaus können Sie noch weitere Objekte aus dem HR-Organisationsmanagement einbeziehen, wie z. B. die Stellen, die die Planstelle beschreiben, und darüber Rollen zuordnen.
Die Definition der kritischen Berechtigungen erfolgt in diesen Schritten: Wählen Sie auf dem Einstiegsbildschirm den Button Kritische Berechtigungen. Ihnen werden nun in der Dialogstruktur zwei Ordnerpaare angezeigt: – Varianten zu kritischen Berechtigungen > kritische Berechtigung – kritische Berechtigung > Berechtigungsdaten. Öffnen Sie im Änderungsmodus in der unteren Ordnerhierarchie mit einem Doppelklick den Ordner kritische Berechtigung, und wählen Sie anschließend Neue Einträge. Geben Sie nun im rechten Bildschirmbereich für die Felder ID Berechtigung, Text, Farbe und Transaktionscode die entsprechenden Daten ein. Speichern Sie Ihre Eingaben. Beim Speichern werden Sie nach einem Customizing- Auftrag gefragt. Geben Sie diesen entsprechend an. Markieren Sie den soeben angelegten Eintrag, und öffnen Sie per Doppelklick den Ordner Berechtigungsdaten, um die Berechtigungsdaten zu pflegen. Anschließend erstellen Sie eine Variante. Hierzu öffnen Sie mit einem Doppelklick den Ordner Varianten zu kritischen Berechtigungen und wählen Neue Einträge. Geben Sie nun den Namen und die Beschreibung der Variante ein, und speichern Sie Ihre Eingaben. Nun weisen Sie der Variante die Kennung der erstellten kritischen Berechtigung zu. Dazu markieren Sie die Variante, und anschließend gelangen Sie per Doppelklick in den Unterordner Varianten zu kritischen Berechtigungen > kritische Berechtigungen in der Eingabemaske. Klicken Sie nun auf Neue Einträge, und wählen Sie aus der Liste Ihre soeben erstellte Variante aus – in unserem Beispiel ZB01. Anschließend speichern Sie Ihre Eingaben. Abschließend können Sie Ihre Reportvariante mit kritischen Berechtigungen ausführen. Hierzu gehen Sie zurück auf den Einstiegsbildschirm des Reports RSUSR008_009_NEW und wählen im Bereich Name der Variante die Option für kritische Berechtigungen aus. Selektieren Sie nun mithilfe der Wertehilfe die soeben erstellte Variante, und führen Sie diese aus.
Testen der Berechtigung
In unserer eCATT-Testkonfiguration kann die vorbereitete Datei nun für das Abspielen der Aufzeichnung verwendet werden. Beachten Sie, dass das Abspielen abbricht, wenn wir in der Transaktion PFCG auf einen Fehler stoßen, z. B. wenn wir versuchen, mit den Eingabewerten eine Rolle anzulegen, die es schon gibt. Geben Sie zum Abspielen die Datei unter Externe Varianten in der Testkonfiguration an, und klicken Sie auf Ausführen ((F8)). Sie erhalten noch einmal die Gelegenheit, einige Abspieleigenschaften einzustellen. Mit Ausführen geht es nun los. Sie werden dabei einige Meldungen der PFCG-Ausführungen unten in der Statuszeile sehen und erhalten am Ende eine Zusammenfassung über Erfolg (oder Misserfolg, falls es Fehler gab). Wir geben zu, dass eCATT aufwendiger zu bedienen ist als etwa die Transaktion SU10. Wenn Sie eCATT jedoch ein paarmal verwendet haben, geht es recht flott von der Hand. Bitte beachten Sie dabei stets, dass der grundlegende Mechanismus das Abspielen einer Aufzeichnung ist und daher etwa andere Organisationsebenen (z. B. eine dritte Organisationsebene, die aber im Dialog vor Werk und Verkaufsstelle steht) auch eine andere Aufzeichnung und Bearbeitung benötigen.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Nachdem Sie die Daten für die Webseite ermittelt haben, müssen Sie nun das Initialpasswort generieren und per E-Mail verschicken sowie gegebenenfalls den Benutzer entsperren. Dafür gibt es ebenfalls unterschiedliche Lösungen – wir beschreiben eine mögliche Vorgehensweise. Die Generierung eines Passworts können Sie über den Importparameter GENERATE_PWD des BAPIs BAPI_USER_CHANGE veranlassen. Das generierte Passwort wird dann als Initialpasswort gesetzt und muss bei der nächsten Anmeldung durch den Benutzer geändert werden. Außerdem müssen Sie den Importparameter PASSWORDX setzen, um eine Änderung am Passwort anzuzeigen. Über den Exportparameter GENERATED_PASSWORD wird das generierte Passwort zurückgegeben. Dies ist erforderlich, wenn Sie das BAPI BAPI_USER_CHANGE aus einem zentralen System (z. B. aus der ZBV) aufrufen und die betreffende E-Mail aus diesem System verschicken wollen. Sie sollten dieses Passwort niemals speichern, sondern es direkt in Ihrer Anwendung in eine E-Mail einbinden. Anschließend verschicken Sie diese E-Mail an den Benutzer, dessen E-Mail-Adresse Sie entweder direkt im SAP-System ermitteln (Parameter ADDSMTP von BAPI_USER_GET_DETAIL) oder im Rahmen Ihrer Webanwendung (z. B. aus dem AD). Auch wenn Sie die E-Mail-Adresse im AD ermitteln, raten wir Ihnen davon ab, die E-Mail auch von dort aus zu versenden. Initiieren Sie den Versand lieber im Rahmen Ihres zentralen SAPSystems, um zu vermeiden dass das Passwort unnötig übertragen wird. Außerdem raten wir Ihnen dringend, die E-Mails mit den Initialpasswörtern verschlüsselt zu verschicken. Dazu muss die Implementierung Ihres Self-Services bei der Erstellung der E-Mail das Kennzeichen für die Verschlüsselung setzen. Details zur Verschlüsselung von E-Mails und einen alternativen Versand des Initialpassworts direkt aus dem betroffenen SAP-System beschreiben wir in Tipp 98, »E-Mails verschlüsseln«.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Wenn Sie die Konfigurationsvalidierung nutzen, empfehlen wir Ihnen trotzdem die gelegentliche Nutzung der AGS Security Services, wie des EarlyWatch Alerts und des SAP Security Optimization Services, die wir in Tipp 93 »AGS Security Services nutzen«, beschreiben.
Gibt es in Anwendungen eine Änderung bzw. Unterschiede (geänderte Prüfkennzeichen, Vorschläge, Feldwerte oder neue bzw. gelöschte Berechtigungsobjekte), wird in der Tabelle USOB_MOD bzw. TCODE_MOD der MOD_TYPE auf M gesetzt.